Funciones
KMS es un servicio en la nube seguro, confiable y fácil de usar que ayuda a los usuarios a crear, gestionar y proteger claves de manera centralizada.
Utiliza Hardware Security Modules (HSMs) para proteger las claves. Todas las CMK están protegidas por claves root en HSM para evitar fugas de claves.
También controla el acceso a las claves y registra todas las operaciones en claves con registros rastreables. Además, proporciona registros de uso de todas las claves, cumpliendo con sus requisitos de auditoría y cumplimiento normativo.
Funciones
- En la consola KMS, puede realizar las siguientes operaciones en CMK:
- Creación, consulta, habilitación, deshabilitación, programación de la eliminación y cancelar la eliminación de CMK
- Modificación del alias y la descripción de CMK
- Uso de la herramienta en línea para cifrar y descifrar pequeños volúmenes de datos
- Adición, búsqueda, edición y eliminación de etiquetas
- Creación, cancelación y consulta de subvenciones
- Puede utilizar la API para realizar las siguientes operaciones:
- Creación, encriptación o desencriptación de data encryption keys (DEKs)
- Subsidios de jubilación
- Firma o verificación de la firma de mensajes o resúmenes de mensajes
Para obtener más información, consulta la Referencia de la API de Data Encryption Workshop.
- Generar hardware verdadero número aleatorio.
Puede generar números aleatorios de 512 bits mediante la API de KMS. Los números aleatorios verdaderos de hardware de 512 bits se pueden usar como o servir como base para materiales clave y parámetros de encriptación. Para obtener más información, consulta la Referencia de la API de Data Encryption Workshop.
Algoritmos criptográficos soportados por KMS
Las claves simétricas creadas en la consola KMS utilizan el algoritmo AES-256. Las claves asimétricas creadas por KMS soportan los algoritmos RSA y ECC.
Tipo de clave |
Tipo de algoritmo |
Especificaciones clave |
Descripción |
Uso |
---|---|---|---|---|
Symmetric key |
AES |
AES_256 |
Clave simétrica de AES |
Cifra y descifra una pequeña cantidad de datos o claves de datos. |
Asymmetric keys |
RSA |
|
Contraseña asimétrica de RSA |
Cifra y descifra una pequeña cantidad de datos o crea firmas digitales. |
ECC |
|
Curva elíptica recomendada por el NIST |
Firma digital |
Tabla 2 describes the encryption and decryption algorithms supported for user-imported keys. Solo se pueden importar claves simétricas de 256 bits.
Algoritmo |
Descripción |
Configuración |
---|---|---|
RSAES_OAEP_SHA_256 |
Algoritmo de encriptación RSA que utiliza OAEP y tiene la función hash SHA-256 |
Seleccione un algoritmo de encriptación basado en sus funciones HSM. Si los HSM soportan el algoritmo RSAES_OAEP_SHA_256, utilice RSAES_OAEP_SHA_256 para cifrar materiales de clave.
AVISO:
El algoritmo de encriptación RSAES_OAEP_SHA_1 ya no es seguro. Tenga cuidado al realizar esta operación. |
RSAES_OAEP_SHA_1 |
Algoritmo de encriptación RSA que utiliza Optimal Asymmetric Encryption Padding (OAEP) y tiene la función hash SHA-1 |